apache进程占用cpu100％怎么解决

hipeace86

服务器上apache以多进程运行
最近网站老是出现不能访问的现象，远程连接后使用top发现有一个apache进程的cpu占用率一直在100％
使用strace跟踪了一下，发现应该是有一个请求死循环了

1. socket(PF_NETLINK, SOCK_RAW, 0)         = 41
   
2. bind(41, {sa_family=AF_NETLINK, pid=0, groups=00000000}, 12) = 0
   
3. getsockname(41, {sa_family=AF_NETLINK, pid=1852, groups=00000000}, [12]) = 0
   
4. sendto(41, "\24\0\0\0\26\0\1\3\311\265\314N\0\0\0\0\0\0\0\0", 20, 0, {sa_family=AF_NETLINK, pid=0, groups=00000000}, 12) = 20
   
5. recvmsg(41, {msg_name(12)={sa_family=AF_NETLINK, pid=0, groups=00000000}, msg_iov(1)=[{"0\0\0\0\24\0\2\0\311\265\314N<\7\0\0\2\10\200\376\1\0\0\0\10\0\1\0\177\0\0\1"..., 4096}], msg_controllen=0, msg_flags=0}, 0) = 168
   
6. recvmsg(41, {msg_name(12)={sa_family=AF_NETLINK, pid=0, groups=00000000}, msg_iov(1)=[{"@\0\0\0\24\0\2\0\311\265\314N<\7\0\0\n\200\200\376\1\0\0\0\24\0\1\0\0\0\0\0"..., 4096}], msg_controllen=0, msg_flags=0}, 0) = 192
   
7. recvmsg(41, {msg_name(12)={sa_family=AF_NETLINK, pid=0, groups=00000000}, msg_iov(1)=[{"\24\0\0\0\3\0\2\0\311\265\314N<\7\0\0\0\0\0\0\1\0\0\0\24\0\1\0\0\0\0\0"..., 4096}], msg_controllen=0, msg_flags=0}, 0) = 20
   
8. close(41)                               = 0
   
9. socket(PF_INET, SOCK_DGRAM, IPPROTO_IP) = 41
   
10. fcntl(41, F_GETFL)                      = 0x2 (flags O_RDWR)
    
11. fcntl(41, F_SETFL, O_RDWR|O_NONBLOCK)   = 0
    
12. connect(41, {sa_family=AF_INET, sin_port=htons(80), sin_addr=inet_addr("222.186.58.121")}, 16) = 0
    
13. fcntl(41, F_SETFL, O_RDWR)              = 0
    
14. sendto(41, "XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX"..., 8192, MSG_DONTWAIT, NULL, 0) = 8192
    
15. sendto(41, "XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX"..., 8192, MSG_DONTWAIT, NULL, 0) = 8192
    
16. sendto(41, "XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX"..., 8192, MSG_DONTWAIT, NULL, 0) = 8192
    
17. sendto(41, "XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX"..., 8192, MSG_DONTWAIT, NULL, 0) = 8192
    
18. sendto(41, "XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX"..., 8192, MSG_DONTWAIT, NULL, 0) = 8192
    
19. sendto(41, "XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX"..., 8192, MSG_DONTWAIT, NULL, 0) = 8192
    
20. sendto(41, "XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX"..., 8192, MSG_DONTWAIT, NULL, 0) = 8192
    
21. sendto(41, "XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX"..., 8156, MSG_DONTWAIT, NULL, 0) = 8156
    
22. close(41)   

复制代码

想问下从上面的跟踪日志里能不能查出问题在哪？比如是请求的是哪个页面造成的

dreamice

服务器上apache以多进程运行
最近网站老是出现不能访问的现象，远程连接后使用top发现有一个apache进程的c ...
hipeace86 发表于 2011-11-23 17:22

    你关注一下近期的byterange漏洞，你这个可能是被攻击了。

hipeace86

又发现一问题，就算是把它的ip用iptables给封了，结果还是会出现这个情况

1. Chain INPUT (policy ACCEPT)
   
2. target     prot opt source               destination         
   
3. DROP       all  --  121.12.168.22        anywhere            
   
4. 
   
5. Chain FORWARD (policy ACCEPT)
   
6. target     prot opt source               destination         
   
7. 
   
8. Chain OUTPUT (policy ACCEPT)
   
9. target     prot opt source               destination

复制代码

都这样封了，还是会有这个ip的请求

dreamice

又发现一问题，就算是把它的ip用iptables给封了，结果还是会出现这个情况都这样封了，还是会有这个ip的请求 ...
hipeace86 发表于 2011-11-24 17:59

    你最好能把包审计下来，才能从原始包分析出来原因。

hipeace86

现在写了个治标不治本的脚本

1. # -*- coding: utf-8 -*-
   
2. from subprocess import Popen, PIPE
   
3. import re
   
4. 
   
5. pipe = Popen("""top -bn1|grep apache2|awk '{print $1"="$9;}'""", shell=True, bufsize=1024, stdout=PIPE).stdout
   
6. processes = pipe.read()
   
7. pipe.close()
   
8. 
   
9. ps = re.compile(r"(\d*)=([19]+.*)").findall(processes)
   
10. for pid, useage in ps:
    
11.     if(float(useage)) > 90:
    
12.         Popen("kill -9 %s" % (pid), shell=True, bufsize=1024, stdout=PIPE).stdout.close()

复制代码

加到系统的定时任务中，每分钟检查一次，只要cpu占用超过90的就把进程给杀死

dreamice

回复 5# hipeace86


    如果发现有木马，首先肯定是要处理掉木马，否则任何的监测手段都不足以治本；
其次，增加防护手段，譬如说木马和一些常见攻击的防护。包审计手段可以用awstate，或者直接审计accesslog也可以。

bobreeves

我们的我与他网 www.woyuta.com 也出现了服务器CPU资源被占完，卡死的现象。

求高手帮看看，可能是什么原因引起的。